Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Защита TPM 2.0

1,255 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Защита TPM 2.0

  1. 1. Особенности архитектуры защиты TPM 2.0 Возможен ли новый взлом? Вернер Олег Витальевич, к.т.н., начальник лаборатории доверенной среды
  2. 2. • 1999: Trusted Computing Platform Alliance (TCPA) • 2001: Спецификации TCPA версии 1.0, рабочие группы TPM, ПК, спецификации TPM 1.1 • 2003: Trusted Computer Group (TCG), спецификации TPM 1.2, TNC, TSS, Mobile Platform, Storage, Infrastructure, … • … • 2011: Спецификации Virtualized Trusted Platform Architecture • 2013: Спецификации TPM 2.0 Trusted Computer Group: ИСТОРИЯ
  3. 3. СтандартыTCG
  4. 4. Использование микрочипов • для организации мобильной связи в сим-картах сотовых телефонов и в системах межмашинного взаимодействия M2M (Machine-to-Machine); • в платежных системах (в кредитных или дебетовых банковских картах, электронных кошельках - ePurse); • в электронных паспортах, идентификационных смарт- картах, электронных картах медицинского и социального страхования, водительского удостоверения и прочих системах персональной идентификации, а также идентификации объектов; • для организации защищенной среды в системах платного телевидения, доверенных вычислений (чипы TPM - Trusted Platform Module), для обеспечения безопасности встроенных систем (Embedded Security).
  5. 5. Физическая безопасность микропроцессорных чипов Общая структура чипа
  6. 6. Методы атаки Атаки на встроенное программное обеспечение (Software) Использование уязвимости конкретной реализации программного обеспечения. Атаки, рассчитанные на ошибку/сбой (Fault attacks) Физические манипуляции с первичным источником питания (Vcc), тактовым сигналом (clock), температурой, воздействие ультрафиолетовым (UV) и рентгеновским (X-Rays) излучением. Атаки по побочным каналам (Side channel attacks) Мониторинг аналоговых сигналов, т.е. времени исполнения, энергопотребления, электромагнитного излучения. Атаки с проникновением (Invasive attacks) Реинжиниринг содержимого ROM Зондирование (Probing data) Модификация схемы …
  7. 7. Базовые классы атак 1. Пассивные атаки (Passive или Observing Attacks). 2. Активные атаки без проникновения (Non-invasive или Manipulating Attacks). 3. Проникающие или полупроникающие атаки (Invasive или Semi-Invasive Attacks).
  8. 8. Анализ содержимого памяти Цель атаки: Считывание хранимых (секретных) данных или программных кодов во время выполнения. Метод атаки: После вскрытия корпуса щупы электрических зондов подсоединяются к внутренней шине и измеряются сигналы функционирующего чипа.
  9. 9. Противодействие анализу содержимого памяти Контрмеры: - Полное покрытие чипа проводящими линиями (conducting lines), целостность которых постоянно тестируются (active shield). Атака обнаруживается чипом по нарушению целостности покрытия. - Шифрование данных на шине (Bus encryption).
  10. 10. Spikes-атаки Цель атаки: Добиться ошибок в криптографических вычислениях, позволяющих с помощью Differential Fault Analysis (DFA) определить вводимый криптографический ключ или обойти проверку системы защиты, т.е. ввод пароля. Метод атаки: На сигнальные линии или источник питания воздействуют короткими электрическими импульсами.
  11. 11. Защита от Spikes-атак Контрмеры: Встраивание разнообразных сенсоров контроля условий работы микросхемы (voltage sensor and spike sensor). При обнаружении ненормальных условий активизируется режим тревоги. Результат Spike атаки для защищенного контроллера
  12. 12. Защита от атак световым импульсом Цель атаки: Добиться ошибок в последовательности выполнения команд программы для обхода системы аутентификации (как и при spike атаке) или вызвать появление на выходе важной для атакующего информации (т.е. дампа памяти, содержащего секретные данные). Метод атаки: После вскрытия корпуса, чип (или часть чипа) облучается во время работы вспышками света или лазером. Контрмеры: Встраивание распределенных по всей поверхности чипа световых сенсоров. При обнаружении света активизируется режим тревоги.
  13. 13. Группа атак по линии питания (1) Использование утечек криптографической информации по линии питания. Пример 1: реализации операции умножения со сложением (Multiply- Add, MAD) RSA оказывают ярко выраженное влияние на линию питания. Пример 2: идентификация 16-ти раундов алгоритма DES простым измерением питания.
  14. 14. Группа атак по линии питания (2) При атаке типа SimplePowerAnalysis путем интерпретации одиночного профиля потребления идентифицируют отдельные инструкции программы микрочипа и делают заключение об актуальных операндах. При атаке типа DifferentialPowerAnalysis собирается до нескольких тысяч профилей потребления при различных входных данных. Последующий статистический анализ позволяет определить значение битов секретного ключа.
  15. 15. Атаки типа дифференциальный анализ с использованием побочных каналов Цель атаки: Определение секретного ключа криптографической функции путем использования DPA (Differential Power Analysis) или EMA (Electro-Magnetic radiation Analysis). Метод атаки: Использование корреляции между обрабатываемыми данными и потребляемым питанием или электромагнитным излучением во время криптографических вычислений.
  16. 16. Атаки типа дифференциальный анализ с использованием побочных каналов Контрмеры: Использование безопасного криптоускорителя (Secure accelerator). Генерация случайного шума на линии питания (CURSE). Типичный профиль питания. Профиль питания генерируемый CURSE. Небезопасная реализация криптографической функции. Secure accelerator.
  17. 17. Физическая безопасность семейства серий SLE66P/PE и SLE88P • датчики и фильтры контроля условий работы микросхемы (к таким датчикам и фильтрам относятся световые и температурные датчики, а также фильтры, сглаживающие броски напряжения и изменения тактовой частоты); • шифрование данных всех видов памяти (ROM, EEPROM, RAM) для предотвращения возможности анализа содержимого памяти; • скремблинг или шифрование данных, передаваемых в шинах адресов и данных; • использование модуля управления памятью (Memory Management Unit или MMU) для шифрования данных, хранящихся в памяти EEPROM и RAM, и управления доступом к различным типам памяти; • средства борьбы с атаками, основанными на измерении по излучению микросхемы потребляемой ей энергии: камуфляжное излучение или, наоборот, уменьшение излучения за счет специальных фильтров; переменная логика выполнения одной и той же программы; • использование специального дизайна процессора; • использование специального криптопроцессора для выполнения алгоритмов RSA и DES; • использование специального аппаратного генератора случайных чисел, применяемого для генерации ключей в схеме RSA; • использование активных средств защиты от проникающих атак.
  18. 18. Black Hat 2010: Christopher Tarnovsky сообщил, что ему удалось взломать TPM Infineon SLE 66 CL PC Взлом TPM
  19. 19. Stefan Rüping, Marcus Janke и Andreas Wenzel – номинанты Немецкой премии будущего за 2012 год
  20. 20. Новая концепция безопасности Анализ более чем двадцатилетнего опыта защиты от атак на систему безопасности микрочипов показал необходимость смены парадигмы физической безопасности. Защита «против известных атак» оказалась недостаточной.
  21. 21. Класс атаки Manipulating Observing Semi-Invasive Время на разработку месяцы дни месяцы Время на реализацию дни часы минуты Стоимость > 100.000 € > 10.000 € > 100 € Пример Microprobing Power Analysis Spike Attack
  22. 22. Классы атак
  23. 23. Атаки с использованием вспышек лазера и радиационного облучения Уровень угрозы зависит от стоимости используемого оборудования (Switchable Wavelength Laser, High-End Laser Test Setup, Control for Laser Attacks) - от 100 Euro to 500.000 Euro. Вместе с тем, дешевое оборудование может использоваться большим числом любителей (непрофессионалов), что также повышает уровень угрозы. Атаки с использованием радиационного облучения направлены на отдельные элементы электрической схемы. Сегодня и любители могут получить доступ к источникам радиации для организации подобных атак.
  24. 24. DPA атаки DPA атаки это относительно небольшая группа из другого класса - Observing Attacks, подкласс - Side-Channel Attacks. Метод анализа линии питания как побочного канала утечки информации (Power related Side Channel Analysis) известен уже почти 100 лет. Сегодня даже студенты университетов способны организовать DPA атаку. Соответствующие контрмеры также обычно не рассчитаны на противодействие атакам из других групп данного класса.
  25. 25. Традиционный подход к безопасности
  26. 26. Новый подход – INTEGRITY GUARD
  27. 27. • Полное шифрование в чипе (Full On- Chip Encryption) • Полный контроль целостности (Comprehensive Error Detection) • Специальная внутренняя топология (Active I2-shield) Базовые механизмы INTEGRITY GUARD
  28. 28. Механизм полного контроля целостности Self-cheking system Два процессора в микрочипе позволяют выполнять перекрестные проверки операций для своевременного обнаружения возможных атак. EDC Protection EDC защищает память, шины и элементы ядра микрочипа. Однократные ошибки (в одном бите) исправляются, многократные (multi-bit) ошибки вызывают режим тревоги. Cache Protection Опубликовано описание различных атак на незащищенный Кэш. Cache Protection автоматически контролирует целостность данных Кэш.
  29. 29. Общая схема механизма Full Error Detection
  30. 30. Механизм Full On-Chip Encryption Encripted Memory Использование устойчивого блочного алгоритма шифрования защищает от разнообразных атак на хранящиеся в памяти или передаваемые по шине данные.
  31. 31. Механизм Full On-Chip Encryption CPU Encryption Применение криптопроцессоров, использующих шифрованные вычисления, позволяет противостоять атакам на обрабатываемые в процессоре данные.
  32. 32. Общая схема механизма Full On-Chip Encryption
  33. 33. Active I2-shield В дополнение к механизмам Full On-Chip Encryption компания Infineon использует интеллектуальную безопасную разводку микрочипа. Для безопасного внутреннего дизайна чипа используются специфические, собственные инструменты разработки Infineon. Линии разводки внутри кристалла ранжируются в зависимости от их значимости и на базе этой классификации автоматически трассируются и проверяются. Intelligent Shielding алгоритм распределяет их по слоям, завершая создание так называемого «Active I2-shield».
  34. 34. Итого: базовые положения • При анализе физической безопасности микрочипов должны рассматриваться три основных класса атак: Physical, Observative и Semi-Invasive. • Контрмеры должны работать для всего класса атак, а не только для одного специфичного сценария атаки. • Для реализации долгоживущей защиты необходима смена парадигмы от аналоговой к цифровой безопасности.
  35. 35. INTEGRITY GUARD (SLE 78) В июне 2010 года семейство высокозащищенных контроллеров Infineon SLE 78 получило от правительства Германии разрешающий сертификат для использования SLE 78 в проектах связанных, с ID- документами и чип-карточными приложениями.
  36. 36. Для чипа TPM сертификат по стандарту Common Criteria был впервые получен фирмой Infenion. • 9-12 месяцев; • подготовлено около 800 страниц технической документации; • независимыми сторонами проведено более 150 тестов на проникновение (penetration tests). Оценка уровня безопасности чипа EAL 6 EAL 5 EAL 4 EAL 3 EAL 1 EAL 2 EAL 7 Common Criteria Functionally tested Structurally tested Methodically tested and checked Methodically designed, tested and reviewed Semiformally designed and tested Semiformally verified design and tested Formally verified design and tested Используемые в настоящее время фирмой Infenion меры защиты микроконтроллеров позволяют достигнуть уровня EAL5+.
  37. 37. Процесс сертификации TPM Definition of TOE and Security Targets Applicant Certification BodyEvaluation Body TCG Protection Profile Standard Evaluation Documentation acc. to ITSEC / CC Evaluation through Trusted 3rd party Certification
  38. 38. BOOT GUARD TPM 2.0 Стандарты и технологии сегодня
  39. 39. Благодарю за внимание elvis.ru

×